• Deutsch
  • English

DSGVO für Websitebetreiber

DSGVO Anforderungen für Websites

DSGVO für Websitebetreiber

Was ist bei DSGVO – konformen Websites zu beachten?

Nach dem 25.05.2018 ist es um die DSGVO etwas leiser geworden. Wirklich? Nein, dieser Eindruck täuscht. Die neuen DSGVO Bestimmungen gelten und die Vorgaben müssen bereits längst implementiert sein. Übrigens, das betrifft auch Ihre Website. In unserer Checkliste finden Sie praktische Tipps dazu.

Zur Erinnerung, die Datenschutzgrundverordnung betrifft die personenbezogenen Daten und dadurch beinahe alle Bereiche unseres Alltags. Denn Geschäftsbeziehungen werden von Menschen geführt und mit Menschen gepflegt. Allerdings ist der korrekte Umgang mit personenbezogenen Daten im online Bereich (z.B. auf Website) immer noch mit vielen Fragen besetzt. Bald wird eine weitere Verordnung – ePrivacy – in Kraft treten, die die gesamten Kommunikationswege – online wie offline (darunter via Telefon, Web- oder E-Mail, IoT) – neu regeln wird. Diese ist auch dann anzuwenden, wenn nicht nur personenbezogene Daten verarbeitet und gespeichert werden sollen.

Da es bei den DSGVO Bestimmungen einen sehr großen Interpretationsspielraum gab und manchmal immer noch gibt, sind potenzielle Schwierigkeiten bei der Umsetzung vorprogrammiert. Bei den Websiteprojekten, die wir begleiten dürfen, beschäftigen wir uns natürlich auch mit solchen Fragestellungen.

In Bezug auf die momentane DSGVO Umsetzungsvorgaben für eine Website werden immer wieder Fragen gestellt, wie z.B. über Cookies, Datenschutzerklärung oder technische Maßnahmen, um gesetzeskonform zu sein. Die wichtigen Aspekte haben wir in diesem Blogartikel zusammengestellt und die DSGVO-relevante Empfehlungen für Ihre Website aufgelistet:

1. Datenschutzerklärung

Folgende Informationen sollen in Datenschutzerklärung vorhanden sein:

a. Welche personenbezogenen Daten von Interessenten/Websitebesuchern im Zuge des Websitebesuches erhoben, gespeichert, verarbeitet oder auch an Dritte weitergegeben werden. Wo und wann werden sie erhoben, sowie zu welchem Zweck.
b. Falls Sie Google Analytics Dienste nutzen:

  • Information über Verwendung von Google Analytics mit Möglichkeit das Tracking und Cookies zu deaktivieren. Information darüber, welche Arten von Cookies oder Tags überhaupt eingesetzt werden.
  • Zustimmung zu DSGVO Bestimmungen im Google Analytics Konto soll ebenfalls aktiviert sein.
  • Google Analytics: Überprüfen Sie auch, ob die Erhebung von demografischen Daten in Ihrem Geschäftsfeld notwendig ist und ob Sie diese überhaupt erheben dürfen (z.B. Alter, Geschlecht)
  • Wie lange werden die Analyse-Daten über Nutzerverhalten auf Ihrer Website aufbewahrt. Dies kann ebenfalls in Google Analytics bestimmt werden.

c. Information über Verwendung von folgenden Plugins: z.B. reCaptcha (falls vorhanden), Facebook (falls mit Website verbunden), XING (falls mit Website verbunden) oder LinkedIn (falls mit Website verbunden), YouTube (falls mit Website verbunden) o.ä.. Dabei wäre auch wichtig, Shariff Buttons (oder andere Zwei-Klick) Lösungen zu implementieren. Das soll die Übermittlung der Daten an soziale Netzwerke wie Facebook, und zwar bereits wenn die Website geladen wird, verhindern. Mit einem Shariff Button werden die Daten erst dann übermittelt, sobald eine Interaktion z.B. Like gesetzt oder Kommentar geschrieben wurde.
d. Anonymisierung der IP Adresse ist durchgeführt und im Quellcode der Website eingeführt (IP Adresse ist auch als personenbezogene Information zu behandeln, weil eine Person damit praktisch identifizierbar ist).
e. Aufklärung über Rechte auf Auskunft, Löschung, Widerruf der Zustimmung zu Datenverarbeitung.
f. Kontaktangaben zu Datenschutzbeauftragten oder zu Anlaufstelle in Beschwerdefällen.
g. Bei auf der Website verwendeten Grafiken, Bildern und Videos die Quelle des Materials unbedingt angeben.

2. Cookie-Banner

Die Meinungen zu Verwendung von Cookie-Banner gehen auseinander. Wir sind aber der Meinung, dass dies eher zu gutem Ton gehört und schadet jedenfalls nicht.

a. Ein Banner mit Information über Verwendung von Cookies (und Information, wie man diese deaktivieren kann, obligatorisch in Datenschutzerklärung) soll auf der Website implementiert sein.
b. Es sollte so platziert sein, dass die Links zu Datenschutzerklärung und Impressum immer gut sichtbar sind.

3. Kontakt-/Anmelde-/Anfrageformulare auf der Website

Beim Ausfüllen einer Anfrage über ein Webformular werden ebenfalls personenbezogene Daten angegeben, wie z.B. Vor- und Nachname oder E-Mail Adresse. Daher sollen bereits hier Hinweise auf die Datenverarbeitung und Datenschutzerklärung klar formuliert werden.

a. Webformulare sollten Kontrollkästchen mit Information beinhalten, die über Speicherung und Zwecke der Verwendung der Daten aufklärt. (Achtung, die Zustimmung-Checkbox darf nicht vorausgefüllt sein. Die Zustimmung muss aktiv und freiwillig gegeben werden).
b. Darüber hinaus sollte beim Kontrollkästchen ein Link zu Datenschutzerklärung platziert werden, wo alle Details nochmal erklärt und beschrieben sind.
c. Ausschließlich notwendige Daten dürfen erhoben werden, die für die Bearbeitung einer Anfrage oder Anmeldung notwendig sind.

4. Sicherheit

Der Schutz der Daten beginnt bereits bei der Übertragung und sicheren Internetverbindung mit dem Zielserver, wo Ihre Website liegt. Die Verschlüsselung ist die Lösung.

a. Dafür sollen Sie das HTTPS:// Protokoll auf Ihrer Website implementieren (bekannt als SSL Zertifikat)

Darüber hinaus gibt es einen anderen Aspekt dabei, der die Reputation einer Website ohne SSL Zertifikat, sowie das Ranking bei Google zusätzlich negativ beeinflusst. In Chrome Browser sind solche Websites nämlich bereits seit einiger Zeit mit ‚Nicht sicher‘ gekennzeichnet. Und das betrifft nicht nur die Seiten, wo sich z.B. Kontaktformulare befinden, sondern die gesamte Website.

Kennzeichnung der Websites ohne SSL

Google kündigt sogar an,  in Zukunft http:// Websites noch deutlicher und stärker zu markieren.

5. Newsletter

Wenn Sie Newsletter an Ihre Kunden und Interessenten verschicken

a. werden Sie wahrscheinlich ein Anmelde-Formular auf Ihrer Website haben und Sie sollen sich bei der Anmeldeprozedur eher für die Double-Opt-in Variante entscheiden. Damit ist man jedenfalls auf der sicheren Seite.
b. Ein Newsletter darf nur dann verschickt werden, wenn eine proaktive ausdrückliche Einwilligung der Betroffenen vorliegt und auch nachweislich protokoliert wird. (Kopfnicken reicht jetzt leider nicht mehr).
c. Newsletter Software Provider soll in EU angesiedelt sein. Hier sollen Sie auch darauf achten, dass Sie einen Auftragsverarbeitungsvertrag mit Ihrem Newsletter-Softwarelieferanten unterschrieben haben.

Um diesem Thema genauer auf den Grund zu gehen, haben wir viele Weiterbildungsangebote in Anspruch genommen, mit Rechtsanwälten gesprochen und selber viel darüber recherchiert. Darüber hinaus setzen wir diese Bestimmungen in der Praxis bei unseren Website-Projekten und Beratungen laufend um. Allerdings ersetzt dieser Artikel keine professionelle rechtliche Beratung, da es in vielen Fällen sehr spezifische Aspekte der Geschäftspraktiken berücksichtigt werden müssen.

Dies wären jedoch die Grundmaßnahmen, die jeder Websitebetreiber einfach implementieren kann. Wenn Sie sich genauer über Newsletter Marketing und DSGVO informieren möchten, lesen Sie auch unseren weiteren Blogartikel E-Mail Marketing und DSGVO. Bei Fragen oder für Unterstützung bei der Umsetzung der Maßnahmen auf Ihrer Website kontaktieren Sie uns gerne über das Kontaktformular oder direkt per E-Mail an office@somaas.net. Wir freuen uns von Ihnen zu hören.

©Titelbild: Shutterstock_Bokeholic

Zurück zum Blog